Cavi Ethernet e router ADSL Fonte foto: Shutterstock
SICUREZZA INFORMATICA

Router sotto attacco per diffondere malware

Di Pierguido Iezzi

Nuovo giorno e nuovo cyber attacco che fa leva sul COVID-19 per mettere a segno il colpo.

I criminali informatici, infatti, stanno compromettendo i router e modificando le impostazioni del Domain Name System (DNS), al fine di reindirizzare le vittime verso siti controllati che promuovono false applicazioni di informazioni sui coronavirus. Se le vittime scaricano queste app, vengono infettate con malware Oski.

Quest’ultimo attacco dimostra che i Criminal Hacker stanno diventando sempre più creativi nel modo in cui sfruttano la pandemia del coronavirus.

E sembra funzionare – i ricercatori ritengono che almeno 1193 vittime siano state prese di mira da questo attacco informatico negli ultimi giorni.

La prima istanza è stata rilevata il 18 marzo e da allora sono saliti alle stelle i riscontri, con vittime provenienti da Stati Uniti, Germania, Francia e Italia tra le più prese di mira.

Il numero delle vittime è probabilmente destinato a crescere nelle prossime settimane, soprattutto se gli aggressori hanno creato altri repository, sia ospitati su Bitbucket che su altri servizi di hosting di codici, dato che la pandemia del Coronavirus rimane un ‘argomento caldo’.

Gli aggressori sembrano aver sondato Internet alla ricerca di router vulnerabili, riuscendo a comprometterli – potenzialmente tramite password bruteforcing – e cambiando le loro impostazioni IP DNS.

I Router vulnerabili

I criminali informatici stanno soprattutto prendendo di mira i router Linksys, ma anche i prodotti di D-Link sono stati compromessi.

L’attacco comincia con la violazione delle credenziali del router, dopodiché i Criminal Hacker modificano gli indirizzi IP DNS. Con questo controllo sulle impostazioni DNS, gli aggressori possono modificare gli indirizzi IP DNS e reindirizzare gli utenti ignari verso pagine Web controllate dagli attaccanti stessi.

Alcuni dei domini mirati, verso i quali gli utenti vengono reindirizzati, includono: “aws.amazon[.]com”, “goo[.]gl”, “bit[.]ly”, “washington[.]edu”, “imageshack[.]us”, “ufl[.]edu”, “disney[.]com”, “cox[. ]net”, “pubads.g.doubleclick[.]net”, “tidd[.]ly”, “redditblog[.]com”, “fiddler2[.]com” e “winimage[.]com.”.

Gli aggressori reindirizzano le vittime che cercano di raggiungere uno di questi domini verso un elenco specifico di pagine web a tema coronavirus. Su questi siti viene visualizzato un messaggio che finge di essere dell’Organizzazione Mondiale della Sanità (OMS), che invita gli utenti a installare un’app che offre ulteriori informazioni sul coronavirus (tramite un pulsante “download”).

Il pulsante “download” ha il tag “href” (collegamento ipertestuale) impostato su https://google[.]com/chrome in modo che sembri pulito quando la vittima porta il cursore sul pulsante. Ma in realtà è impostato in modo tale da cambiare l’URL in quello maligno, nascosto nell’URL e abbreviato con TinyURL”.

Il Malware Oski

Per coprire ulteriormente le loro tracce, gli aggressori hanno utilizzato Bitbucket, un legittimo (e popolare) servizio di hosting di repository basato sul web, per memorizzare i campioni di malware. Una volta che le vittime hanno cliccato sul link TinyURL, il downloader Oski viene eliminato tramite un file denominato “runset.EXE”, “covid19informer.exe” o “setup_who.exe” (questi nomi sono che un altro tentativo degli hacker di dare un’aria di legittimità).

Oski è un malware infostealer relativamente nuovo.

Alcune delle caratteristiche che racchiude ruotano attorno all’estrazione delle credenziali del browser e delle password dai “portafogli” di criptovaluta, e i suoi creatori si vantano persino di poter estrarre le credenziali memorizzate nei database SQL di vari browser web e del registro di Windows.

La raccomandazione agli utenti del router Linksys e D-Link è di cambiare le credenziali di accesso al pannello di controllo del router. Non vanno neppure dimenticate le credenziali dell’account cloud di Linksys, o di qualsiasi account di gestione remota per i router, per evitare eventuali acquisizioni tramite attacchi di bruteforcing.

Insomma, continua senza sosta l’ondata di attacchi a tema coronavirus. I gruppi di APT hanno visto la pandemia come un’esca per la diffusione di malware per l’esfiltrazione dei dati, in particolare con un maggior numero di aziende che si spostano verso un modello di Smart working in risposta al virus.

Anche se non è raro che i Criminal Hacker si servano delle notizie globali, come la pandemia, per consegnare email di phishing con allegati dannosi, questo recente sviluppo dimostra che non sono altro che creativi nel compromettere le vittime.

© Italiaonline S.p.A. 2020Direzione e coordinamento di Libero Acquisition S.á r.l.P. IVA 03970540963